UNIVERSIDAD ISRAEL FACULTAD DE SISTEMAS NOMBRE: CURSO: NIVEL: TEMA: EDISON FABIN PROAO MALES AUDITORA INFORMTICA DCIMO

ANLISIS AUDITORA INFORMTICA

TIPOS DE AUDITORA La auditora informtica es una disciplina que se desenvuelve en el campo de la informtica sobre todo a la hora de verificar el buen funcionamiento de las aplicaciones desarolladas, practicamente se debe entrar en lo que se denomina la auditora interna y externa. De acuerdo al documento proporcionado existen cuatro tipos de auditora informtica: 1. 2. 3. 4. Auditora informtica de explotacin Auditora Informtica de Desarrollo de Proyectos o Aplicaciones Auditora Informtica de Sistemas Auditora Informtica de Comunicacin y Redes

Las mencionadas auditora deben ser estrictamente tomadas en cuenta a la hora de una buena auditora, pues de ello depender el resultado final, que cumpla con las exigencias del usuario y que las aplicaciones sean al 100% operativas y que contrarestar riesgos futuros. ANLISIS DE AUDITORA INFORMTICA DE EXPLOTACIN Auditora Informtica de Explotacin. Es la materia prima (datos) que se la transforma en informes consolidados que luego de ser controlados, validados, procesados sirven para dar un resultado para los usuarios sea en formato digital, impreso o cualquier otro medio externo. ANLISIS DE AUDITORA INFORMTICA DE DESARROLLO DE PROYECTOS O APLICACIONES Auditora Informtica de Desarrollo de Proyectos o Aplicaciones. En el transcurso de un proyecto informtico es necesario la auditora del desarrollo de la misma, para ello es necesario la revisin de las metodologas que utiliza el grupo de desarrolladores del proyecto; posteriormente el control interno de las aplicaciones la misma que debe estar debidamente documentada sobre la lgica, tcnica, diseo del programa, los mtodos de pruebas con su respectivo responsable de cada proceso o mdulo, esto servir para un futuro mantenimiento de las aplicaciones sin complicaciones por el usuario; igualmente se debe tomar en cuenta el control de procesos y ejecuciones de programas cclicos que deben estar debidamente controlados.

ANLISIS DE AUDITORA INFORMTICA DE SISTEMAS Auditora Informtica de Sistemas. El auditor debe considerar que el uso del sistema operativo est acorde y soporte con las aplicaciones a desarrollar. Otro factor es el uso de software bsico el mismo que no debe afectar en el funcionamiento del sistema en s. Uno de los aspectos importantes es la auditora de la base de datos, este debe cumplir con la integridad, consistencia, estabilidad y ausencia de redundancia de los datos. Aunque se encuentre ligada con la administracin de explotacin, aqu debe verificarse el buen uso de la estructura de la base de datos. ANLISIS AUDITORA INFORMTICA DE COMUNICACIN Y REDES Auditora Informtica de Comunicacin y Redes. Aspecto importante relacionado a la topologa de red que usa la empresa, con el fin de determinar las posibles mejoras y adecuaciones a considerar en la empresa. De esto depender el buen funcionamiento del aplicativo a desarrollar en cuanto a su velocidad y proceso de informacin a travs de la red. PERFILES QUE UN PROFESIONAL DE AUDITORA DE SISTEMAS DEBERA POSEER El profesional de Auditora de Sistemas debe tener el siguiente perfil: Apegarse a las normas y polticas internas y externas establecidas por la empresa, siendo un compromiso en el ejercicio del servicio profesional; Debe estar fuera de cualquier tipo de influencia, por lo que debe imparcial, autnomo en su actuacin, libre de injerencias laborales, morales, etc; El Auditor Informtico debe tener la suficiente capacidad de conocimiento en el campo computacional, informtico, redes, etc; Debe poseer el mejor manejo de herramientas y tcnicas para el desarrollo de la auditora, a fin de que realice su tarea con eficiencia y eficacia, con resultados ptimos y de calidad; Debe ser honrado, imparcial, con valores, que genere confianza, con capacidad analtica; Debe ser proactivo y con buenas relaciones laborales y sociales, lder; Debe guardar la informacin en forma confidencial, no revelar secretos de la empresa auditada; Ejercer el trabajo de auditora informtica con responsabilidad y conducta profesional.

HERRAMIENTAS QUE UTILIZA EL AUDITOR INTERNO Entre las herramientas que utiliza el auditor interno son: 1. Cuestionarios: Por lo general se lo realiza a los usuarios finales, pues ellos evidencian el funcionamiento de las aplicaciones, de esta menera se obtiene las debilidades y fortalezas de los diferentes entornos. 2. Entrevistas, mediante un formulario de preguntas, que recaba informacin ms tcnica 3. Checklist, estas deben ser contestadas verbalmente por el usuario auditado y el auditor mediante su formulario colocar la respuesta

4. Trazas o huellas: Se apoyar a software especializados que rastrean los caminos de los datos a travs del programa y a la vez permitir validar la ejecucin de los datos en el sistema. MATRIZ DE PRIORIZACIN DE PROCESOS A SER AUDITADOS Para el desarrollo de priorizacin de procesos a ser auditados se debe considerar que engloba una serie de elementos con el fin de velar la estabilidad y la eficiencia de la empresa en relacin a los sistemas, equipos, seguridad y los controles internos aplicados en los aplicativos. Con este antecedente se puede determinar la siguiente tabla: 1. Documentacin 1.1 Organigrama 1.2 Manual de Puestos 1.3 Inventario de aplicativos puestos en produccin 1.4 Inventario de programas con su respectiva descripcin 1.5 Inventario de archivos con su respectiva descripcin 1.6 Inventario de hardware 1.7 Inventario de software 1.8 Diccionario de Datos 1.9 Diagramas de Red 1.10 Diagramas de relacin 1.11 Evaluacin de sistemas por parte de auditora externa 1.12 Evaluacin de sistemas por parte de auditora interna 1.13 Plan estratgico 1.14 Plan de capacitacin para el personal 1.15 Presupuesto anual 1.16 Polticas y normas que regulen la administracin de TI 1.17 Polticas de Seguridad 1.18 Polticas de calidad de datos

1.19 Polticas de Mantenimiento del software 1.20 Contrato de mantenimiento del hardware 1.21 Polticas de respaldo 1.22 Estudios de Factibilidad de los proyectos 1.23 Plan de trabajo (perodo actual) 2. Servicios con Terceros 2.1 Existe contrato de servicios 2.2 Existe dentro del contrato clusula de confidencialidad 2.3 El proveedor ha dado cumplimiento a lo pactado 2.4 Existen controles para el servicio 3. Seguridad 3.1 Control de acceso al personal a la sala de cmputo 3.2 Identifican, autentican y autorizan el acceso a la Base de Datos 3.3 Pared de fuego (Firewall) 3.4 Restringen el trfico hacia dentro y fuera de la red 3.5 Software para prevenir, detectar y corregir virus 3.6 Regulan el correo electrnico 3.7 Evaluacin tcnica de infraestructura del edificio 3.8 Control en las condiciones ambientales 3.9 Control en los ambientes de desarrollo y produccin 3.10 Controles para la medicin de calidad de datos 3.11 Software para monitorear / analizador redes 3.12 Herramientas para administrar la seguridad de las Bases de Datos 3.13 Existen censores ( fuego, humo, movimiento)

4. Redes 4.1 Evalan la capacidad y desempeo del hardware. 4.2 Evalan la capacidad de la red. 4.3 Evalan al proveedor de servicio de comunicaciones. 4.4 Evalan la calidad de las operaciones en Internet. 4.5 Evalan peridicamente los equipos de comunicacin EJEMPLO DE UNA AUDITORA DE REDES El siguiente ejemplo permitir realizar la auditora en el rea encargada de la administracin de redes y obtener cual es la situacin actual de sta rea a lo cual se escribir al momento de la entrevista. No. 1 2 3 4 5 6 7 8 9 10 11 12 13 Tarea Responsable (entrevistado) Qu tipo y modelos de servidores posee Jefe de rea el rea DTIC? Cul es el sistema operativo instalado en Jfe de rea los servidores? Qu tipo de tipologa de red posee? Jfe de rea Existe un inventario de las aplicaciones? Jfe de rea Cules son las aplicaciones generadas? Jfe de rea Existe la documentacin de cada una de Jfe de rea las aplicaciones generadas? Existe un reglamento o polticas de uso Jfe de rea de sta rea? Existe un anlisis de vulnerabilidad en los Jfe de rea equipos y sistemas? Diga cules son los anlisis de Jfe de rea vulnerabilidad Existe una estrategia de mantenimiento Jfe de rea de los equipos (hardware)? Existe una estrategia de saneamiento? Jfe de rea Existe un plan de contingencia? Jfe de rea Existe un control de utilizacin de Jfe de rea equipos de comunicacin para monitorear la red y el trfico? Existe control de lneas telefnicas? Jfe de rea Existe control de acceso de usuarios a los Jfe de rea equipos y sistemas? Existe deteccin de errores tanto de Jfe de rea hardware como de software? Situacin Actual

14 15 16